平成 13 年2 月情報処理振興事業協会...実験に用いたPalmOS マシンはIBM 社製のWorkPad とSONY 社製のCLIE であり、そのOS であるPalmOS のバージョンはどれも3.5

PalmOS上でのマクロウイルスの動作実験

結果報告書

平成 13年 2月

情報処理振興事業協会

Copyright(C) 2001 Information-technology Promotion Agency, Japan All rights reserved

i

目次 1 はじめに ...................................................................................................................... 1 2 背景と目的 .................................................................................................................. 3 3 PalmOSでの感染実験 ................................................................................................ 4 3.1 XM/Laroux .............................................................................................................. 7 3.1.1 ファイル転送 ........................................................................................................ 7 3.1.2 メールへの添付(HotSyncによる送受信) .............................................................. 9 3.1.3 メールへの添付(直接送受信)................................................................................. 9 3.2 W97M/X97M/P97M/Tristate................................................................................. 10 3.2.1 ファイル転送 ...................................................................................................... 10 3.3 W97M/Class .......................................................................................................... 12 3.3.1 ファイル転送 ...................................................................................................... 12 3.4 W97M/Marker....................................................................................................... 15 3.4.1 ファイル転送 ...................................................................................................... 15 3.5 W97M/Ethan......................................................................................................... 17 3.5.1 ファイル転送 ...................................................................................................... 17 4 実験結果の考察 ......................................................................................................... 19 4.1 PalmOS用アプリケーションソフトの機能について ............................................. 20 4.2 ファイル変換について ........................................................................................... 21 4.3 メール添付について ............................................................................................... 22 5 まとめ ....................................................................................................................... 23


1

1 はじめに

本報告書は、携帯コンピュータ用の OSとして注目されつつある PalmOS上において、現在パーソナルコンピュータ用のOSであるWindows 95/98等で問題となっている代表的なマクロウイルスの動作実験を行い、PalmOS 環境におけるマクロウイルスの危険性を検証し、その結果を報告するものである。

実験対象とするマクロウイルスは以下の 5種類である。 • XM/Laroux • W97M/X97M/P97M/Tristate • W97M/Class • W97M/Marker • W97M/Ethan

実験に用いた PalmPowered ハンドヘルド1は現在入手可能な以下の 2 種類としたが、

PalmOS のバージョンはすべて同じであり、実験結果も同一のものとなった。なお、本報告書ではこれらの端末を PalmOSマシンまたは単に Palmと呼ぶ。

• IBM社製WorkPad c3、Palm OS Version 3.5 日本語版、RAM 8MB、モノクロモデル

1 「PalmPoweredハンドヘルド」は、PalmOSを搭載したハンドヘルド機の総称。


2

• SONY社製 CLIE PEG-S500C、PalmOS Version 3.5 日本語版、RAM 8MB、カラーモデル


3

2 背景と目的

コンピュータウイルス(以下ウイルスと呼ぶ)とは、自分自身のコピーを他のプログラムに追加(感染)することで自己増殖するプログラムである。ウイルスは、その感染プログラムの移動によってあるマシンから他のマシンへと拡散していき、また、ある条件であらかじめ決めら

れている動作を起こし(発病)、システムに深刻な被害をもたらすことがある。近年、携帯端末機器でインターネットや電子メールを利用する機会が増え、携帯端末機器でもコンピュータ

ウイルスに遭遇するケースが増えている。 Microsoft Windows 95/98等では、Microsoft Office系アプリケーションソフトウェア上で動作するマクロウイルスが猛威を振るっており、それらのファイルを扱うことのできる携帯

端末機器でもウイルスの感染が懸念されている。特に、代表的な携帯端末機器である PalmOSマシン用に Microsoft Office 系のアプリケーションとデータの互換性を持つソフトウェアが販売されているが、それらを用いた場合の PalmOS上でのマクロウイルスの動作は明らかにされておらず、どのような影響が出るかも不明である。本実験は、Microsoft Officeとデータを交換することが可能な PalmOS用アプリケーションソフトウェアの機能を調査し、マクロウイルスの動作確認やその被害が及ぶ範囲を明らか

にするものであり、その結果を、PalmOS に関連したウイルス対策を構築するための基礎資料とすることを目的としている。


4

3 PalmOSでの感染実験

実験に用いた PalmOSマシンは IBM社製のWorkPadと SONY社製の CLIEであり、その OSである PalmOSのバージョンはどれも 3.5である。

PalmOSマシンにインストールされている標準アプリケーションはMicrosoft Officeのファイルをサポートしておらず、直接 Officeファイルを操作することはできなかった。しかし、Officeファイルを扱うことのできる PalmOS用アプリケーションが市販されていることがわかった。そこで今回は、存在を確認した 2種類のアプリケーション、Cutting Edge Software社製 Quickoffice Version 5.0の Quickwordと Quicksheetおよび DataViz社製 Documents To Go Professional Edition Version 3.0のWordToGoと SheetToGoを取り上げ、実験に使用した。これらは、PalmOS上でMicrosoft WordとMicrosoft Excelのファイルを作成・閲覧・編集可能にするソフトウェアである2。ただし、PalmOSマシン側のアプリケーションとデータを交換する際はファイル変換が必要であり、PC側のアプリケーションがそれを行う。実験を行うマクロウイルスは XM/Laroux、W97M/X97M/P97M/Tristate、W97M/Class、

W97M/Marker、W97M/Ethanの５種類とする。なお、Tristateは Excelファイルに感染した状態のものを用いた。パーソナルコンピュータ(PC)と携帯端末とでファイルを転送するために、PC側にHotSync

Version 3.5 をインストールし、両者をシリアルケーブル3で接続して通信を行った。また、電子メールの取り扱いには PalmOS の標準メールアプリケーションと Microsoft Exchangeの受信トレイを利用した。受信トレイは PCのWindows 95/98に付属している、添付ファイルを扱うことのできる標準的な電子メールソフトウェアである。また、携帯電話を用いた直

接メール送受信のためには Palm社製のMultiMail Professional Version 2.26Jを利用した。以上により、PalmOSマシン上で動作するQuickword、Quicksheet、WordToGo、SheetToGo

の 4種類のアプリケーション上で上記ウイルスの動作実験を行う。

2 どちらもMicrosoft PowerPointのファイルには未対応。 3 CLIEでは USBケーブルを用いた。


5

実験手順実験手順実験手順実験手順 Quickoffice Quickoffice Quickoffice Quickofficeの場合の場合の場合の場合 1. PC 側の Quickoffice Desktop で"Quicksheet"または"Quickword"を選択し、"Add

Document..."ボタンで対象ファイル(*.doc / *.xls)をリストに追加する(図 1)。この操作でファイルは PalmOS用の形式(*.qwd / *.qsh)に変換される。 ※※※※ 自動実行マクロが動作することに注意。それがウイルスであれば感染する。自動実行マクロが動作することに注意。それがウイルスであれば感染する。自動実行マクロが動作することに注意。それがウイルスであれば感染する。自動実行マクロが動作することに注意。それがウイルスであれば感染する。

2. その際、元のファイルにリンクさせるかどうかの確認があるが(図 2)、リンクさせると、PalmOS マシンで更新したデータを PC に戻したときに、自動的に PC 上の元のファイルが更新される。今回はリンクさせて実験した。

3. HotSyncにて PalmOS用ファイルを PalmOSマシンに転送する。 4. PalmOSマシン側で Quicksheetまたは Quickwordを起動し、受信したファイルを開いてその挙動を確認し、その後データの内容を更新して保存する。

5. HotSyncにて更新したファイルを PCに転送する。

図1 : Quickoffice Desktop

図2 : リンクの確認


6

実験手順実験手順実験手順実験手順 Documents To Go Documents To Go Documents To Go Documents To Goの場合の場合の場合の場合 1. PC 側の Documents To Go プログラムの"Add Item"ボタンで対象ファイル(*.doc /

*.xls)をリストに追加する(図 3)。この操作でファイルは PalmOS用の形式(*.pdb)に変換される。この際、自動的に元のファイルとリンクされる。

2. HotSyncにて PalmOS用ファイルを PalmOSマシンに転送する。 3. PalmOS マシン側で SheetToGo または WordToGo を起動し、受信したファイルを開いてその挙動を確認し、その後データの内容を更新して保存する。

4. HotSyncにて更新したファイルを PCに転送する。

図3 : Documents To Goメイン画面


7

3.1 XM/Laroux LarouxはMicrosoft Excelで動作するマクロウイルスである。ここでは、Laroux ウイル

スに感染している"Laroux.xls"を検体とし、Excelデータを扱うことのできる QuicksheetとSheetToGoで開いたときの動作を調査する。

3.1.1 ファイル転送 Quicksheet ---------------------------------------------------------------------------------------------------------- パーソナルコンピュータ(以下 PCと表記する)側のQuickoffice Desktopでファイル形式を変換し、HotSyncで PCと PalmOSマシン(以下 Palmと表記する)との間でファイル転送を行った。

PC: Laroux.xls (17.5KB) → PC: Laroux.qsh (2.1KB)

PC: Laroux.qsh (2.1KB) → Palm: Laroux (23B)

PC上でのファイル形式の変換4の時点で拡張子が"qsh"となり、ファイルサイズが大幅に減少した。変換後の qsh ファイルはテキストファイルであり、元の xls ファイルへのリンク情報や数値・計算式のデータが格納されていたが、マクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかった。ただし、ファイル形式の変換の際、バックグラウンドで Excel が起動して対象ファイルが読み込まれ、そのファイルデータを基に qsh形式のファイルが生成されるのだが、この時点で自動実行ウイルスマクロが動作し自動実行ウイルスマクロが動作し自動実行ウイルスマクロが動作し自動実行ウイルスマクロが動作し PCPCPCPC が感染してしまうが感染してしまうが感染してしまうが感染してしまう。これは Excel のセキュリティレベルに関係なく実行されるため注意が必要である。また、Excel でファイルを開くときのウイルス対策として「Shiftキーを押し続けることで自動実行マクロを無効にする」という方法があるが、これも正しく働かないため、事前にウイルスチェックを行うことが必要である。

Palmに転送された qshファイルは、そのデータ部分のみのファイルとなり、この場合はわずか 23 バイトであった。これを Palm 上で動作する Quicksheet で開いても、当然 LarouxLarouxLarouxLarouxウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかった。なお、Quicksheetはマクロの表示・編集・実行機能を提供しておらず(図 4)、現在の現在の現在の現在の QuicksheetQuicksheetQuicksheetQuicksheet自体にはマクロウイルスの危険性はない自体にはマクロウイルスの危険性はない自体にはマクロウイルスの危険性はない自体にはマクロウイルスの危険性はないと言える。

図4: Quicksheetのメニュー

4 Excelデータファイル中のすべてのワークシートが空の場合は変換エラーが発生する。


8

また、Palm上で編集したファイルを PCへ戻すと、リンク先の元ファイルの内容が更新され、マクロを含まない xls ファイルになった。Palm 上でファイルを更新しなかった場合は、HotSyncを実行しても PC上のリンク先ファイルは変化しない。

Palm: Laroux (64B) → PC: Laroux.qsh (2.1KB)

PC: Laroux.qsh (2.1KB) → PC: Laroux.xls (13.5KB)

SheetToGo -----------------------------------------------------------------------------------------------------------

SheetToGo の場合も、PC 側でファイルを Palm 側アプリケーションのデータ形式に変換してから転送を行う。

PC: Laroux.xls (17.5KB) → PC: Laroux.pdb (1.2KB)

PC: Laroux.pdb (1.2KB) → Palm: Laroux (1.2KB)

ファイルの内容が SheetToGo用の pdbファイルに変換され、拡張子が"pdb"となり、ファイルサイズが大幅に減少した。変換後の pdbファイルは、PalmOSアプリケーションのデータ用の形式5になっており、バイナリエディタで開いて内容を視認した結果、マクロコードはマクロコードはマクロコードはマクロコードは

存在しなかった存在しなかった存在しなかった存在しなかった。転送したファイルを Palm上の SheetToGo で開いても、LarouxLarouxLarouxLarouxウイルスの活動は起こらウイルスの活動は起こらウイルスの活動は起こらウイルスの活動は起こらなかったなかったなかったなかった。なお、SheetToGoはマクロの表示・編集・実行機能を提供しておらず(図 5)、現在現在現在現在のののの SheetToGoSheetToGoSheetToGoSheetToGoにはマクロウイルスの危険性はないにはマクロウイルスの危険性はないにはマクロウイルスの危険性はないにはマクロウイルスの危険性はないと言える。

図5: SheetToGoのメニュー

また、Palm上で編集したファイルを PCへ戻すと、リンク先の元ファイルの内容が更新され、マクロを含まない xls ファイルになった。Palm 上でファイルを更新しなかった場合は、HotSyncを実行しても PC上のリンク先ファイルは変化しない。

Palm: Laroux (1.3KB) → PC: Laroux.pdb (1.3KB)

5 PDBファイルは Palmデータベース形式のファイル。


9

PC: Laroux.pdb (1.3KB) → PC: Laroux.xls (4.5KB)

3.1.2 メールへの添付(HotSyncによる送受信) 次に、電子メールにウイルスファイルを添付した場合の実験を行う。 Palmの標準メールアプリケーションで電子メールを送受信する場合は、メールをHotSync

で転送し、実際の送受信は PC側で行う。ファイルを添付したメールを HotSync経由で受信しても、添付ファイルが含まれていたことを示すメッセージが表示されるだけで(図 6)、ファイル本体は含まれていなかった。これは、Palmの標準メールアプリケーションが最大 8Kバイトのメールしか受信できず、添付ファイルにも対応していないためであり、現状の標準メールアプリケーションでは添付ファイルを現状の標準メールアプリケーションでは添付ファイルを現状の標準メールアプリケーションでは添付ファイルを現状の標準メールアプリケーションでは添付ファイルを

利用したウイルスの拡散はあり得ない利用したウイルスの拡散はあり得ない利用したウイルスの拡散はあり得ない利用したウイルスの拡散はあり得ないということを示している。

図6: 添付ファイルがあったことを示すメッセージ

以降、この実験は意味を持たないため省略する。

3.1.3 メールへの添付(直接送受信) PalmOSマシンのために、携帯電話や PHSを利用して電子メールを送受信できるアプリケーションソフトウェアが公開されている。これは PalmOSの標準アプリケーションではないが、PalmOS マシンに付属していることが多い。今回は携帯電話と Palm 社製の MultiMail Professionalを使用した。ファイルを添付したメールをMultiMailで受信しても、添付ファイルがあったことを示すメッセージ「--- Attachment Laroux.xls---」が本文末尾に表示されるだけで、ファイル本体は含まれていなかった。これは MultiMail が最大 60K バイトのメールしか受信できず、添付ファイルに対応していないためであり、現状の現状の現状の現状のMultiMailMultiMailMultiMailMultiMailでは添付ファイルを利用したウでは添付ファイルを利用したウでは添付ファイルを利用したウでは添付ファイルを利用したウイルスの拡散はあり得ないイルスの拡散はあり得ないイルスの拡散はあり得ないイルスの拡散はあり得ないということを示している。以降、この実験も意味を持たないため省略する。


10

3.2 W97M/X97M/P97M/Tristate TristateはMicrosoft Word、Microsoft ExcelおよぴMicrosoft PowerPoint間で感染動作

することが可能なマクロウイルスである。ここでは、Tristateウイルスに感染している Excelファイル "Tristate.xls"を検体とし、Excel データを扱うことのできる Quicksheet とSheetToGoで開いたときの動作を調査する。

3.2.1 ファイル転送 Quicksheet ---------------------------------------------------------------------------------------------------------- ファイルサイズ以外は前述した Larouxウイルスと同じ結果となった。 PC側の Quickoffice Desktopでファイル形式を変換し、HotSyncで PCと Palmとの間で

ファイル転送を行った。

PC: Tristate.xls (102KB) → PC: Tristate.qsh (49.3KB) PC: Tristate.qsh (49.3KB) → Palm: Tristate (45.9KB)

PC上でのファイル形式の変換の時点で拡張子が"qsh"となり、ファイルサイズが半減した。変換後の qshファイルにはマクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかった。ただし、ファイル形式の変換の際に PCPCPCPCが感染する恐れがあるが感染する恐れがあるが感染する恐れがあるが感染する恐れがあるため、事前にウイルスチェックを行っておく必要がある。転送したファイルを Quicksheetで開いても、TristateTristateTristateTristateウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかった。また、Palm上で編集したファイルを PCへ戻すと、リンク先である元のファイルの内容が

更新され、マクロを含まない xlsファイルになった。Palm上でファイルを更新しなかった場合は、HotSyncを実行しても PC上のリンク先ファイルは変化しない。

Palm: Tristate (33.0KB) → PC: Tristate.qsh (35.8KB)

PC: Tristate.qsh (35.8KB) → PC: Tristate.xls (37.5KB)

SheetToGo -----------------------------------------------------------------------------------------------------------

SheetToGo の場合も、PC 側でファイルを Palm 側アプリケーションのデータ形式に変換してから転送を行う。しかしながら、ファイル変換の際に pdbファイルが 0バイトとなってしまった。

PC: Tristate.xls (102KB) → PC: Tristate.pdb (0B)

PC: Tristate.pdb (0B) → Palm: Tristate (不明)

当然ながら、転送したファイルを Quicksheetで開こうとしても中身がないため開くことはできず、もちろん TristateTristateTristateTristateウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかった。この、ファイルサイズが 0 になる現象は、おそらく検体 xls ファイルのバージョン等によ


11

って起きる問題であり、Tristate ウイルスのマクロが原因ではないだろう。ちなみに、先述の Laroux.xlsは Excel 95で作成されたファイルであり、Tristate.xlsは Excel 97/2000のファイルである。確認のため、独自に Excel 97/2000で作成した xlsファイルを変換しようとするとエラーが発生し変換できなかったが(図 7)、Excel 95の xlsファイルは問題なく変換できた。これはやはり SheetToGoのファイル変換機能の問題であろう。仮にこの問題が無く、変換が成功していたとしても、マクロは pdbファイル内には残らず、

Palm上では安全であることは間違いない。

図7: Documents To Goの変換エラー


12

3.3 W97M/Class ClassはMicrosoft Wordで動作するマクロウイルスである。ここでは、Classウイルスに

感染している"Class.doc"を検体とし、Word 文書を扱うことのできる Quickword とWordToGoで開いたときの動作を確認する。

3.3.1 ファイル転送 Quickword ----------------------------------------------------------------------------------------------------------

PC側の Quickoffice Desktopでファイル形式を変換し、HotSyncで PCと Palmとの間でファイル転送を行った。

PC: Class.doc (315KB) → PC: Class.qwd (6.3KB) PC: Class.qwd (6.3KB) → Palm: Class (3.4KB)

PC上でのファイル形式の変換の時点で拡張子が"qwd"となり、ファイルサイズが激減した。変換後の qwdファイルはテキストファイルであり、元の docファイルへのリンク情報と文書ファイルのテキスト部分が格納されていたが、マクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかった。ただし、ファイル形式の変換の際、バックグラウンドで Word が起動して対象ファイルが

読み込まれ、そのファイルデータを基に qwd形式のファイルが生成されるのだが、この時点で自動実行ウイルスマクロが動作し自動実行ウイルスマクロが動作し自動実行ウイルスマクロが動作し自動実行ウイルスマクロが動作し PCPCPCPC が感染してしまうが感染してしまうが感染してしまうが感染してしまう。これは Word のセキュリティレベルに関係なく実行されるため注意が必要である。なお、前述の Excel の場合とは異なり、Wordでファイルを開くときのウイルス対策として「Shiftキーを押し続けることで自動実行マクロを無効にできる」という方法は有効である6。しかしながら、やはり事前にウイルスチ

ェックを行うことが望ましい。 Palmに転送された qwdファイルは、そのデータ部分のみのファイルとなり、この場合は

3.4KBであった。これを Palm上で動作する Quickwordで開いても、ClassClassClassClassウイルスの活動ウイルスの活動ウイルスの活動ウイルスの活動は起こらなかったは起こらなかったは起こらなかったは起こらなかった。なお、Quickwordはマクロの表示・編集・実行機能を提供しておらず(図8)、現在の現在の現在の現在の QuickwordQuickwordQuickwordQuickwordにはマクロウイルスの危険性はないにはマクロウイルスの危険性はないにはマクロウイルスの危険性はないにはマクロウイルスの危険性はないと言える。また、Palm上で編集したファイルを PCへ戻すと、リンク先の元ファイルの内容が更新さ

れ、マクロを含まない docファイルになった7。Palm上でファイルを更新しなかった場合は、HotSyncを実行しても PC上のリンク先ファイルは変化しない。

Palm: Class (5.6KB) → PC: Class.qwd (7.8KB)

PC: Class.qwd (7.8KB) → PC: Class.doc (67.0KB)

6 この ExcelとWordの挙動の違いは、将来のバージョンアップやアップデートパッチにより改善されることが期待される。

7 ただし、罫線は消え、文書末にゴミデータが付加されていた。


13

図8: Quickwordのメニュー

WordToGo -----------------------------------------------------------------------------------------------------------

WordToGoの場合も、PC側でファイルを Palm側アプリケーションのデータ形式に変換してから転送を行う。

PC: Class.doc (63.5KB8) → PC: Class.pdb (2.4KB)

PC: Class.pdb (2.4KB) → Palm: Class (2.4KB)

ファイルの内容が WordToGo 用の pdb ファイルに変換され、拡張子が"pdb"となり、ファイルサイズが減少した。変換後の pdbファイルは、PalmOSアプリケーションのデータ用の形式になっており、バイナリエディタで開いて内容を視認した結果、マクロコードは存在しマクロコードは存在しマクロコードは存在しマクロコードは存在し

なかったなかったなかったなかった。転送したファイルを Palm上のWordToGo で開いても、ClassClassClassClassウイルスの活動は起こらなウイルスの活動は起こらなウイルスの活動は起こらなウイルスの活動は起こらなかったかったかったかった9。なお、WordToGo はマクロの表示・編集・実行機能を提供しておらず(図 9)、現在現在現在現在ののののWordToGoWordToGoWordToGoWordToGoではマクロウイルスの危険性はないではマクロウイルスの危険性はないではマクロウイルスの危険性はないではマクロウイルスの危険性はないと言える。

8 元の検体ファイル(315KB)の場合、変換中にプログラムが停止してしまった。ここでは文書データの大半を削除した小さな感染ファイルで実験している。

9 ただし、日本語文はすべて文字化けしていた。


14

図9: WordToGoのメニュー

また、Palm上で編集したファイルを PCへ戻すと、リンク先である元のファイルの内容が更新され、マクロを含まない doc ファイルになった。ただし、pdb ファイルへの変換の際に日本語文はすべて文字化けしており、そのまま PCへ転送した場合は文字化けした状態の docファイルになってしまう。これはWordToGoが日本語に対応していないことが原因であろう。Palm 上でファイルを更新しなかった場合は、HotSync を実行しても PC 上のリンク先ファイルは変化しない。

Palm: Class (2.4KB) → PC: Class.pdb (2.4KB) PC: Class.pdb (2.4KB) → PC: Class.doc (15KB)


15

3.4 W97M/Marker MarkerはMicrosoft Wordで動作するマクロウイルスである。ここでは、Markerウイル

スに感染している"Marker.doc"を検体とし、Word 文書を扱うことのできる Quickword とWordToGoで開いたときの動作を確認する。

3.4.1 ファイル転送 Quickword ---------------------------------------------------------------------------------------------------------- ファイルサイズ以外は前述した Classウイルスと同じ結果となった。 PC側の Quickoffice Desktopでファイル形式を変換し、HotSyncで PCと Palmとの間で


PC: Marker.doc (42.5KB) → PC: Marker.qwd (145B) PC: Marker.qwd (145B) → Palm: Marker (30B)

PC上でのファイル形式の変換の時点で拡張子が"qwd"となり、ファイルサイズが激減した。これは検体ファイルの本文のサイズがわずか十数文字10であったためであろう。やはり、変換

後の qwdファイルにはマクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかった。ただし、ファイル形式の変換の際にPCPCPCPCが感染する恐れがあるが感染する恐れがあるが感染する恐れがあるが感染する恐れがあるため、事前にウイルスチェックを行っておく必要がある。転送したファイルを Quickwordで開いても、MarkerMarkerMarkerMarkerウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかった。また、Palm上で編集したファイルを PCへ戻すと、リンク先である元のファイルの内容が

更新され、マクロを含まない docファイルになった。Palm上でファイルを更新しなかった場合は、HotSyncを実行しても PC上のリンク先ファイルは変化しない。

Palm: Marker (31B) → PC: Marker.qwd (152B)

PC: Marker.qwd (152B) → PC: Marker.doc (19.0KB)

WordToGo ----------------------------------------------------------------------------------------------------------- ファイルサイズ以外は前述した Classウイルスと同じ結果となった。 WordToGoの場合も、PC側でファイルを Palm側アプリケーションのデータ形式に変換してから転送を行う。

PC: Marker.doc (42.5KB) → PC: Marker.pdb (398B)

PC: Marker.pdb (398B) → Palm: Marker (168B)

10 検体ファイルの文章データは「Marker.doc」と空行の 2行のみであり、改行コードを含

めても 14バイトしかない。ただし、変換後の pdbファイルには文章データ以外に PalmOS用ファイルとしての構造情報を含んでいる。


16

ファイルの内容が WordToGo 用の pdb ファイルに変換され、拡張子が"pdb"となり、ファイルサイズが激減した。変換後の pdbファイルは、PalmOSアプリケーションのデータ用の形式になっており、バイナリエディタで開いて内容を視認した結果、マクロコードは存在しマクロコードは存在しマクロコードは存在しマクロコードは存在し

なかったなかったなかったなかった。転送したファイルをWordToGo で開いても、MarkerMarkerMarkerMarkerウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかった。また、Palm上で編集したファイルを PCへ戻すと、リンク先である元のファイルの内容が


Palm: Marker (175B) → PC: Marker.pdb (405B)

PC: Marker.pdb (405B) → PC: Marker.doc (14.0KB)


17

3.5 W97M/Ethan Ethanは Microsoft Wordで動作するマクロウイルスである。ここでは、Ethanウイルス

に感染している"Ethan.doc"を検体とし、Word 文書を扱うことのできる Quickword とWordToGoで開いたときの動作を確認する。

3.5.1 ファイル転送パームサイズ PC --------------------------------------------------------------------------------------------------- ファイルサイズ以外は前述した Classウイルスと同じ結果となった。 PC側の Quickoffice Desktopでファイル形式を変換し、HotSyncで PCと Palmとの間で


PC: Ethan.doc (37.0KB) → PC: Ethan.qwd (135B) PC: Ethan.qwd (135B) → Palm: Ethan (23B)

PC 上でのファイル形式の変換の時点で拡張子が"qwd"となり、ファイルサイズが激減11し

た。変換後の qwdファイルにはマクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかったマクロコードは存在しなかった。ただし、ファイル形式の変換の際にPCPCPCPCが感染する恐れがあるが感染する恐れがあるが感染する恐れがあるが感染する恐れがあるため、事前にウイルスチェックを行っておく必要がある。転送したファイルを Quickwordで開いても、EthanEthanEthanEthanウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかった。また、Palm上で編集したファイルを PCへ戻すと、リンク先である元のファイルの内容が


Palm: Ethan (24B) → PC: Ethan.qwd (139B)

PC: Ethan.qwd (139B) → PC: Ethan.doc (19.0KB)

WordToGo ----------------------------------------------------------------------------------------------------------- ファイルサイズ以外は前述した Classウイルスと同じ結果となった。 WordToGoの場合も、PC側でファイルを Palm側アプリケーションのデータ形式に変換してから転送を行う。

PC: Ethan.doc (37.0KB) → PC: Ethan.pdb (387B)

PC: Ethan.pdb (387B) → Palm: Ethan (157B)

ファイルの内容が WordToGo 用の pdb ファイルに変換され、拡張子が"pdb"となり、ファイルサイズが激減した。変換後の pdbファイルは、PalmOSアプリケーションのデータ用の

11 検体ファイルの文章データは「test」の 1行のみで、改行を含めても 6バイトしかなかったため。


18

形式になっており、バイナリエディタで開いて内容を視認した結果、マクロコードは存在しマクロコードは存在しマクロコードは存在しマクロコードは存在し

なかったなかったなかったなかった。転送したファイルをWordToGo で開いても、EthanEthanEthanEthanウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかったウイルスの活動は起こらなかった。また、Palm上で編集したファイルを PCへ戻すと、リンク先である元のファイルの内容が


Palm: Ethan (174B) → PC: Ethan.pdb (404B)

PC: Ethan.pdb (404B) → PC: Ethan.doc (14.0KB)


19

4 実験結果の考察

ここでは、以上の実験結果をまとめ、PalmOS 環境におけるマクロウイルスの動作に関する考察を行う。


20

4.1 PalmOS用アプリケーションソフトの機能について PalmOSマシンには、それが小型軽量性を重視しているためか、Microsoft Office系の文書

ファイルを扱うことのできるアプリケーションは標準では入っておらず、直接扱うことはで

きなかった。 PalmOSでは、市販の Quickofficeや Documents To Goのようなアプリケーションをインストールすることで、Office 系のファイルを扱うことができるようになる。しかしながら、これらは独自形式のファイルを読み書きする。それらの形式のファイルにはマクロは含まれ

ていなかった。また、どちらのアプリケーションにもマクロを作成・実行するための機能が

付いていなかった。したがって、Quickofficeや Documents To Go はマクロに対応しておらず、マクロウイルスが動作することはあり得ない。しかしながら、もしこれらのアプリケーションがバージョンアップなどでマクロを解釈・

実行できるようになったり、マクロを解釈・実行できる PalmOSアプリケーションが開発・販売されたりした場合は、PalmOS がマクロウイルスに感染することは十分考えられる。現在の PalmOSマシンではアプリケーションは RAMにインストールされ、現行マシンの RAMサイズが多くても 8MBであることを考えると、ROMや RAMの容量の問題によってマクロがサポートされることはすぐには実現しそうにないが、将来、大容量の ROM や RAM がPalmOS マシンに搭載されるようになれば、この懸念は現実のものとなる可能性があるだろう。


21

4.2 ファイル変換について Quickofficeや Documents To Goにはマクロ機能がないため、PCの Office系ファイルは

マクロのない形式に変換される。この変換によっていったん削除されたマクロは、PC側に戻すときの逆変換によっても復活することはない。したがって、PC ユーザから Office 系ファイルを受け取る Palmユーザも、PalmOSマシン上で作成・編集したファイルを受け取る PCユーザも、マクロウイルスの心配はいらない。ただし、PC上の Quickoffice Desktopでファイル形式を変換する際、バックグラウンドで

Office アプリケーションが起動して自動実行マクロが実行されてしまうため、マクロウイルスに感染したファイルを変換すると PC が感染してしまうことになる。通常は、Office アプリケーションのセキュリティレベルを「高」に設定しておけば、ディジタル署名のないマク

ロは実行されないのだが、Quickofficeのファイル変換ではセキュリティレベルにかかわらず実行されてしまうため、あらかじめウイルス検査を行う必要がある。Documents To Goではこの問題は発生しない。なお、PC上の Office系ファイルを変換せずに Palmに転送することはできない。


22

4.3 メール添付について PalmOS マシンと PC の間でのメール送受信は、ケーブル接続によるファイル転送と携帯

電話等による直接送受信が考えられるが、どちらも Palm 側のメールアプリケーションの機能により添付ファイルは無視され、添付ファイルで拡散するウイルスの問題が Palm 上で発生することはない。例えば、ウイルスが添付された電子メールを受け取った場合、PC側でさえ添付ファイルを

開かなければ安全である。PCで受信して Palmに転送しても、Palmで直接受信しても、メール本文は問題なく読むことができ、そのメールに返信したり第三者に転送したりしても、

添付ファイルは含まれないため問題は生じない。


23

5 まとめ

携帯端末の普及により、PalmOS マシンがインターネット環境でも広く利用されるようになれば、PalmユーザがWindows 95/98等で問題となっているマクロウイルスに遭遇する場合も増えてくると考えられる。本報告書では、Palm 社の PalmOS を搭載している携帯端末でのマクロウイルスの動作を

実験によって確認し、現状では PalmOSマシン自体に危険が及ぶことはなく、また、ウイルスファイルをそのまま別の電子メールユーザに転送してしまう恐れもないと結論づけた。し

かしながら、アプリケーションによっては PC 側のファイル変換の際にウイルスに感染する恐れがあるため、Office系ファイルを扱う場合は事前に PC側で検査することが重要である。また、今後、Microsoft Officeシリーズのマクロを解釈し実行できる PalmOS用アプリケ

ーションが出現したら、その環境の危険性はWindows 95/98等と何ら変わらなくなるだろう。この結果は、PalmOSマシンに被害がないとはいえ、PC側で十分注意しなければならない

ことを示し、また、PalmOS用 Officeアプリケーションの今後の機能拡張に警鐘を鳴らすものである。

目次はじめに背景と目的PalmOSでの感染実験XM/Larouxファイル転送メールへの添付(HotSyncによる送受信)メールへの添付(直接送受信)

W97M/X97M/P97M/Tristateファイル転送

W97M/Classファイル転送

W97M/Markerファイル転送

W97M/Ethanファイル転送

実験結果の考察PalmOS用アプリケーションソフトの機能についてファイル変換についてメール添付について

まとめ

Documents

平成 13 年2 月 情報処理振興事業協会...実験に用いたPalmOS マシンはIBM 社製のWorkPad とSONY 社製のCLIE であり、そ のOS であるPalmOS のバージョンはどれも3.5

平成 13 年2 月情報処理振興事業協会...実験に用いたPalmOS マシンはIBM 社製のWorkPad とSONY 社製のCLIE であり、そのOS であるPalmOS のバージョンはどれも3.5